V
V
Vadim Timoshenko2019-04-09 17:15:06
ubuntu
Vadim Timoshenko, 2019-04-09 17:15:06

Possible VDS hack, what to do?

There is a site on VDS, Ubuntu 18.04.
Received an email from the host:

We received a complaint from a third-party service administrator about outgoing malicious requests from your account. Here is a fragment of the logs of the server that was accessed:
/furanet/sites/porticolegal.com/web/htdocs/logs/access:188.225.9.120 - - [09/Apr/2019:05:34:03 +0200] "GET /pa_articulo.php?ref=999999.9+%2f**%2fuNiOn%2f**%2faLl+%2f**%2fsElEcT+0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39,0x39313335313435363231312e39,0x39313335313435363231322e39,0x39313335313435363231332e39,0x39313335313435363231342e39,0x39313335313435363231352e39,0x39313335313435363231362e39,0x39313335313435363231372e39,0x39313335313435363231382e39,0x39313335313435363231392e39,0x39313335313435363232302e39,0x39313335313435363232312e39,0x39313335313435363232322e39,0x39313335313435363232332e39,0x39313335313435363232342e39,0x39313335313435363232352e39 HTTP/1.0" 200 1287 "-" "http://www.porticolegal.com/pa_articulo.php?ref=99...
sElEcT+0x393133353134353632312e39,0x393133353134353632322e39,0x393133353134353632332e39,0x393133353134353632342e39,0x393133353134353632352e39,0x393133353134353632362e39,0x393133353134353632372e39,0x393133353134353632382e39,0x393133353134353632392e39,0x39313335313435363231302e39,0x39313335313435363231312e39,0x39313335313435363231322e39,0x39313335313435363231332e39,0x39313335313435363231342e39,0x39313335313435363231352e39,0x39313335313435363231362e39,0x39313335313435363231372e39,0x39313335313435363231382e39,0x39313335313435363231392e39,0x39313335313435363232302e39,0x39313335313435363232312e39,0x39313335313435363232322e39,0x39313335313435363232332e39,0x39313335313435363232342e39,0x39313335313435363232352e39" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
Date: Tue Apr 9 05:34:05 CEST 2019
Unix timestamp: 1554780844.94
Наиболее вероятно, что данная активность является результатом взлома вашего сервера, поэтому вам необходимо провести аудит безопасности для предупреждения повторения проблемы.

Подскажите какие действия я должен предпринять прежде всего?
root закрыт
доступ на сервер по ключам
Недавно отключил fail2ban, так как постоянно увеличивающийся файл /var/lib/fail2ban/fail2ban.sqlite3 занимал все место сервера. Включить обратно?

Answer the question

In order to leave comments, you need to log in

1 answer(s)
D
David, 2019-05-04
@dordyan

Привет!
Сервер вероятно стал частью ботнета, был заражен.
Вектора заражения могут быть такие:
1) Сетевые сервисы: ssh, ftp, munin, nagios и другие, если их порты доступны из интернет.
2) Уязвимости в CMS и плагинах. Часто ломают через известные баги в Wordpress, Joomla.
3) Уязвимости в коде в веб-приоложения. В том, что сделали разработчики.
fail2ban это хороший инструмент, но когда заражение уже произошло его поздно использовать.
По возможности нужно восстановить сервер из бекапа и разобрать с причиной заражения.
Для этого есть два способа:
1) Аудит зараженной системы, логов, истории bash, проверки контрольных сумм файлов.
2) Search for the "hole" through which the malicious code entered the server. To do this, you can use vulnerability scanners. Such as Metascan , AI-Bolit , WP-scan, Qualys
If the problem is relevant for you - write to me in PM - I will help you figure it out.

Didn't find what you were looking for?

Ask your question

Ask a Question

731 491 924 answers to any question